知られざるActive Directory技術の「舞台裏」

第1回 誰も教えてくれないActive DirectoryとLDAPの「本当の関係」[前編]

この記事を読むのに必要な時間:およそ 3 分

Active Directory LDAPの基本構造(その1)

オブジェクトとエントリ,属性とは

LDAPにおいては,管理上の単位として「オブジェクト」「エントリ」といった概念が利用されます。

「オブジェクト」とは管理者が実際に操作する対象物を指し,たとえばユーザアカウントのような「リーフオブジェクト」(単一のオブジェクトとして機能するもの)と,Organizational Unit(組織単位:OU)のような「コンテナオブジェクト」(複数のオブジェクトを格納する機能をもつもの)があります。

また「エントリ」とは,(操作の対象ではなく)管理上の概念としての「何らかの要素の集まり」という状況を指したもので,たとえば,たくさんの属性が集まってできているひとつのオブジェクトや,たくさんのオブジェクトが集まってできているひとつのディレクトリ階層(事実上コンテナオブジェクトを指します),あるいは特定のディレクトリ階層全体など,データの集合体としての概念を示します。

図1 エントリとは

図1 エントリとは

Active Directoryでは,ユーザアカウントやコンピュータアカウントのほか,DNSレコードの情報,グループポリシーの情報,サイトの情報やドメインコントローラ間の複製構成(接続オブジェクト)の情報など,多岐にわたってオブジェクトが存在します。またこれらのオブジェクトを格納するOUを適切に構成することで,ディレクトリ階層を構築することができます。

各オブジェクトには,定義済みの属性(アトリビュート)について,内容を設定することができます。たとえばユーザアカウントであれば,「表示名:displayName」「オブジェクトクラス:objectClass」「メールアドレス:mail」といった汎用的な属性のほか,LDAPアプリケーション独自の属性を利用することができます。

Active Directoryの場合,オブジェクトに含まれている属性は多数におよぶため,全部を紹介することはできませんが,たとえば次のようなものになります。設定可能な属性の一覧については,Windows Server 2008 R2の[Active Directoryユーザーとコンピュータ]コンソールの[属性エディター]画面から,簡単に確認できます。

表1 Active Directoryオブジェクトの属性(ユーザアカウント)

objectCategoryオブジェクトカテゴリ(参照先スキーマオブジェクトが示される)
objectClassオブジェクトクラス
localpany会社名
department部署
distinguishedName識別名
displayName表示名
givenName
mailメールアドレス
msDS-PhoneticDisplayName表示名のふりがな
name名前(相対識別名として機能する)
saMAccountNameSAMアカウント名
sn
telephoneNumber電話番号
title役職
userPricipalユーザプリンシパル名

表2 Active Directoryオブジェクトの属性(OU)

objectCategoryオブジェクトカテゴリ
objectClassオブジェクトクラス
distinguishedName識別名
ou組織単位名

図2 Windows Server 2008 R2 [Active Directoryユーザーとコンピュータ]コンソールの属性エディター 画面

図2 Windows Server 2008 R2 [Active Directoryユーザーとコンピュータ]コンソールの属性エディター 画面

属性名についてですが,その製品独自で必要とされる属性については,(ハイフンをはさんで)接頭語としてベンダ名や製品名を示唆する文字をいれることで,汎用的な属性名とは区別して利用することがあります。上記の例ではmsDS-PhoneticDisplayName属性(表示名のふりがな)がこれにあたります。

LDAPオブジェクトの属性には,単一の値を設定できるものと,複数の値を設定できるものがあります。たとえばgivenName属性(名)にはひとつの値(たとえば「しずか」)しか指定できませんが,otherTelephone属性(その他の電話番号)には,複数の値を指定することができます。


次回は,「Active Directory LDAPの基本構造(その2)」として,LDAPのさまざまな要素と,Active Directoryでそれらがどのように扱われているかについて紹介します。

Active Directoryに関する技術情報:

Microsoft TechNet Active Directory TechCenter
URLhttp://technet.microsoft.com/ja-jp/activedirectory/default.aspx
Microsoft Active Directory 機能概要ページ
URLhttp://www.microsoft.com/japan/ad/

著者プロフィール

小鮒通成(こぶなみちなり)

Active DirectoryおよびWindows Serverに関するコンサルタント。あわせて各種コミュニティ活動や執筆活動を行っており,Microsoft Most Valuable Professional (Windows Server System - Directory Services) 表彰を5年連続で受けている。現在はNTTデータ先端技術株式会社に勤務。

コメント

コメントの記入